BlackOasis APT ve sıfır gün açığından yararlanan yeni hedefli saldırılar

Kaspersky Intelligence Reporting Service müşterileri, BlackOasis APT hakkında daha fazla bilgi edinebilir. İletişim: intelreports@kaspersky.com

Giriş

Kaspersky Lab, kullanıcıları korumak için her zaman satıcılarla birlikte çalışmıştır. Yeni güvenlik açıkları bulduğumuz anda sorumluluk bilinciyle satıcıları bu konu hakkında bilgilendirir ve onarım için gereken ayrıntıları sağlarız.

10 Ekim 2017 tarihinde Kaspersky Lab’in gelişmiş açık (exploit) önleme sistemleri, müşterilerimize karşı kullanılmakta olan yeni bir Adobe Flash sıfır gün açığı keşfetti. Güvenlik açığı bir Microsoft Office belgesi ile iletilmekteydi ve son zararlı yük de FinSpy kötü amaçlı yazılımının yeni sürümüydü. Hatayı Adobe’a bildirdik ve onlarda bu hatayı CVE-2017-11292 olarak atadı ve dün sabah bir yama yayınladı:

Müşteri veri tabanımızda şimdiye kadar yalnızca tek bir saldırı gözlemlendi. Bu nedenle saldırı sayısının az olduğuna ve son derece hedefli olduğuna kanaat getirdik.

Zararlı yük analizi, bu saldırıyı “BlackOasis” adıyla takip ettiğimiz bir aktörle ilişkilendirmemizi sağladı. Ayrıca BlackOasis’in Eylül 2017’de FireEye tarafından keşfedilen bir başka sıfır gün açığından da (CVE-2017-8759) sorumlu olduğundan son derece eminiz. Son saldırılarda (CVE-2017-11292) kullanılan FinSpy zararlı yükü, FireEye tarafından ortaya çıkarılan CVE-2017-8759’da kullanılan zararlı yükle aynı komuta ve kontrol (C2) sunucunusu paylaşmaktadır.

BlackOasis Hakkındaki Genel Bilgiler

BlackOasis’in faaliyetlerini ilk kez Mayıs 2016 tarihinde, başka bir Adobe Flash sıfır gün açığını araştırırken fark ettik. 10 Mayıs 2016 tarihinde, Adobe; Windows, Macintosh, Linux ve Chrome OS için Flash Player 21.0.0.226 ve daha önceki sürümleri etkileyen bir güvenlik açığı (CVE-2016-4117) konusunda uyarılarda bulundu. Güvenlik açığından yararlanılmaya devam edilmekteydi.

Kaspersky Lab, 8 Mayıs 2016 tarihinde çoklu tarama sistemine yüklenen ve bu güvenlik açığından yararlanan bir örnek tespit etmeyi başarmıştı. RTF belgesi formatındaki bu örnek, uzaktaki komuta ve kontrol sunucusundan bir program indirmek ve yüklemek için CVE-2016-4117 açığından yararlanıyordu. Saldırının zararlı yükü artık komuta ve kontrol sunucunda olmamasına rağmen aynı sunucu birden çok FinSpy yükleme paketini barındırmaktaydı.

Kaspersky Security Network’den edindiğimiz verilerinden yararlanarak Haziran 2015 tarihinde BlackOasis tarafından kullanılan iki adet benzer açık zinciri tespit ettik. Bu zincirler de o dönemde sıfır gün açıklarıydı. Bunlar sırasıyla Haziran 2015 ve Şubat 2016 tarihlerinde yama uygulanan CVE-2015-5119 ve CVE-2016-0984 açıklarıydı. Bu açık zincirleri de FinSpy yükleme paketleri içeriyordu.

BlackOasis’in yararlanma ağının keşfedilmesinden bu yana faaliyetlerini ve hedeflerini daha iyi anlamak amacıyla bu tehdit aktörünü takip etmeye başladık ve bazı yeni saldırılar gördük. Bu saldırılarda kullanılan bazı tuzak belgeler aşağıda gösterilmiştir:

BlackOasis saldırılarında kullanılan sahte belgeler

Özetle, BlackOasis’in Haziran 2015 tarihinden bu yana en az beş sıfır gün açığı kullandığını gördük.

• CVE-2015-5119 – Haziran 2015
• CVE-2016-0984 – Haziran 2015
• CVE-2016-4117 – Mayıs 2016
• CVE-2017-8759 – Eylül 2017
• CVE-2017-11292 – Ekim 2017
• CVE-2017-11292

Açığını Kullanan Saldırılar

Saldırı bir Office belgesinin iletilmesiyle, bu vakada muhtemelen e-posta aracılığıyla, başlar. Bu belgeye, Flash güvenlik açığını içeren bir ActiveX nesnesi yerleştirilmiştir.

.docx dosyasındaki Flash nesnesi sıkıştırılmamış biçimde saklanır.

Flash nesnesi, diğer FinSpy açıklarında da görülen özel bir paketleyiciyi kullanarak güvenlik açığını ayıklamakla görevli bir ActionScprit içerir.

SWF güvenlik açığı için paketi açma rutini

Açık, “com.adobe.tvsdk.mediacore.BufferControlParameters” sınıfında bulunan bir bellek bozulması güvenlik açığıdır. Açıktan yararlanma başarılı olursa, bellek içinde isteğe bağlı okuma/yazma işlemleri gerçekleştirebilir. Bu sayede ikinci aşama “shellcode” yürütülebilir.

İlk aşama shellcode, alternatif talimatlara sahip ilginç bir NOP sled (kızağı) içerir. Bu, muhtemelen flash dosyaların içinde büyük NOP blokları arayan antivirüs ürünlerinin tespitini önleyecek şekilde tasarlanmıştır.

0x90 ve 0x91 işlem kodundan oluşan NOP sled (kızağı)

İlk shellcode’un asıl amacı ikinci aşama shelcode’u hxxp://89.45.67[.]107/rss/5uzosoff0u.iaf.’den indirmektir.

İkinci aşama shellcode

Bundan sonra ikinci aşama shellcode aşağıdaki eylemleri gerçekleştirir:

1. Son zararlı yülü (FinSpy) hxxp://89.45.67[.]107/rss/mo.exe adresinden indirir.
2. Aynı IP’den kurbanın gösterilecek tuzak belgeyi indirir.
3. Zararlı yükü çalıştırır ve tuzak belgeyi gösterir.

Zararlı yük – mo.exe

Daha önce belirtildiği üzere “mo.exe” yükü (MD5: 4a49135d2ecc07085a8b7c5925a36c0a) Gamma International’a ait FinSpy kötü amaçlı yazılımının en yeni sürümüdür. Bu, genellikle yasal gözetleme işlemlerinde kullanılması için devletlere ve diğer kolluk kuvvetlerine satılır. Bu yeni sürüme, kodun çalıştırılması için özel bir paketleyici ve sanal makine içermesi amacıyla analize karşı koruma teknikleri eklenmiştir. Bu nedenle araştırmacıların kötü amaçlı yazılımı analiz etmesi oldukça zorlaşmıştır.

Sanal makinenin PCODE’u, aplib paketleyici ile paketlenmiştir.

Paketlenmiş sanal makine PCODE’unun bir parçası

Paketin açılmasından sonra PCODE şu şekilde görünür:

Paketi açılmış PCODE

Paketin açılmasından sonra sanal makine PCODE’unun şifresi çözülür:

Şifresi çözülmüş sanal makine PCODE’u

Özel sanal makine toplamda 34 yönerge destekler:

Çözümlenmiş PCODE örneği

Bu örnekte “1b” yönergesi, parametre alanında belirtilen yerel kodu yürütmekle görevlidir.

Yük başarılı bir şekilde yürütüldüğüne dosyaları aşağıdaki konumlara kopyalamaya başlar:

1. C:\ProgramData\ManagerApp\AdapterTroubleshooter.exe
2. C:\ProgramData\ManagerApp\15b937.cab
3. C:\ProgramData\ManagerApp\install.cab
4. C:\ProgramData\ManagerApp\msvcr90.dll
5. C:\ProgramData\ManagerApp\d3d9.dll

“AdapterTroubleshooter.exe” dosyası, ünlü DLL arama sırası saldırısını (DLL search order hijacking) kullanmak için yararlanılan geçerli bir ikilidir. “d3d9.dll” dosyası, kötü amaçlıdır ve yürütmeden sonra geçerli ikili tarafından belleğe yüklenir. Yüklendikten sonra DLL, FinSpy yazılımını Winlogon prosesine ekler.

Winlogon prosesine eklenen kodun bir parçası

Yük, daha çok kontrol ve veri sızıntısı için 3 komuta ve kontrol sunucusunu devreye sokar. Daha önceki diğer FinSpy yüklerinde komuta ve kontrol sunucularından ikisinin kullanıldığını gözlemledik. Bu komuta ve kontrol sunucularından biri yakın zamanda, FireEye tarafından Eylül 2017 tarihinde bildirilen saldırılar için CVE-2017-8759 ile birlikte kullanılmıştır. Bu IP’ler ve önceki örnekler, FinSpy eyleminin BlackOasis APT kümesiyle yakından ilişkilidir.

Hedef Alma ve Kurbanlar

BlackOasis’in ilgi alanları, Orta Doğu siyasetinde rol oynayan ve bölgeyle ilişkili şahıslardan oluşan geniş bir skalayı kapsar. Bunlara Birleşmiş Milletler’deki önemli şahıslar, muhalif bloggerlar, aktivistler ve bölgesel haber muhabirleri dahildir. 2016 yılında Angola’nın önemli bir ilgi odağı olduğunu gözlemledik. Hedeflerin petrol, para aklama ve diğer yasadışı faaliyetlerle şüpheli ilişkileri olduğunu belirten tuzak belgelerde bunun örneklerini gördük. Ayrıca uluslararası aktivistlere ve düşünce kuruluşlarına da yoğun bir ilgi var.

Şu ülkelerde BlackOasis saldırısına maruz kalan şahıslar olduğu gözlemlendi: Rusya, Irak, Afganistan, Nijerya, Libya, Ürdün, Tunus, Suudi Arabistan, İran, Hollanda, Bahreyn, Birleşik Krallık ve Angola.

Sonuç

2015’in ortalarında HackingTeam’e yapılan saldırının gözetim araçları piyasasında bir boşluk oluşturduğu ve bu boşluğun başka şirketler tarafından doldurulduğu düşünülmektedir. Bu şirketlerden biri de FinFisher araç takımlarıyla Gamma International olmuştur. Gamma International’ın kendisi de 2014 yılında Phineas Fisher tarafından hacklenmesine rağmen güvenlik ihlali HackingTeam vakasındaki kadar ciddi değildi. Ayrıca Gamma’nın saldırıdan sonra eski haline dönmesi ve diğerlerine yetişmesi için iki yılı vardı.

Bu makalede açıklananlara benzer, sıfır gün açıklarıyla desteklenen FinFisher yazılımına dayalı saldırı sayısının artacağını düşünüyoruz.

Bu herkes için ne anlam ifade eder ve sıfır gün açıkları dahil olmak üzere bu tür saldırılara karşı nasıl korunabiliriz?

CVE-2017-11292 ve benzer güvenlik açıkları için, kurumlar killbit ile uyumlu uygulamalarda bu açıkları devre dışı bırakmak için Flash’a yönelik killbit kullanabilir. Maalesef, Flash nesneleri Killbit’e uymama ihtimali olan uygulamalara yüklenebileceği için bunu sistem genelinde uygulamak zordur. Ayrıca bu, Flash’e dayalı diğer gerekli kaynakların bozulmasına neden olabilir ve üçüncü taraf yazılımlar için açıklara karşı koruma sağlamaz.
Erişim ilkeleri, anti virüs, ağ izleme ve beyaz listeye alma özelliklerini içeren çok katmanlı bir yaklaşımı devreye sokmak müşterilerin bu tür tehditlere karşı korunmasını sağlar. Kaspersky ürünlerinin kullanıcıları aşağıdaki tespitlerden biri sayesinde bu tehdide karşı korunur.</p style=”margin-bottom:0!important”>

• PDM:Exploit.Win32.Generic
• HEUR:Exploit.SWF.Generic
• HEUR:Exploit.MSOffice.Generic

Kaspersky Intelligence Reporting Service müşterileri, BlackOasis APT hakkında daha fazla bilgi edinebilir. İletişim: intelreports@kaspersky.com

Teşekkür

Bu güvenlik açığını tanımlamak ve yama uygulamak konusunda bizimle çalıştığı için Adobe Ürünleri Güvenlik Olayı Yanıt Ekibi’ne (PSIRT) teşekkür ederiz.

Referanslar

1. Adobe Güvenlik Bülteni https://helpx.adobe.com/security/products/flash-player/apsb17-32.html

Risk göstergeleri

4a49135d2ecc07085a8b7c5925a36c0a
89.45.67[.]107